Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
В° уровень защиты информации, систематизированы во многих нормативных документах. Однако, независимо от воли и предвидения разработчиков, возникают и иные, заранее неизвестные при проектировании систем защиты информации обстоятельства, способные снизить эффективность защиты или полностью скомпрометировать предусмотренные проектом меры информационной безопасности. Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, должны иметь вероятностный характер. Развитие подобной методологии, включая систему нормативных документов, содержащих количественные, измеримые показатели эффективности СЗИ, обеспечит интересы как заказчиков, так и проектировщиков. Особую важность приобретает обоснование оптимальных значений показателей эффективности, учитывающее целевое предназначение информационной системы.
Таким образом, при использовании современной методической базы, оценка эффективности СЗИ носит в основном нечеткий, субъективный характер [11]; практически полностью отсутствуют нормированные количественные показатели, учитывающие возможные случайные или преднамеренные воздействия. В результате достаточно сложно, а зачастую и невозможно, оценить качество функционирования информационной системы при наличии несанкционированных воздействий на ее элементы, а, соответственно, и определить, чем один вариант проектируемой системы лучше другого. Представляется, решением проблемы комплексной оценки эффективности СЗИ является использование системного подхода, позволяющего еще на стадии проектирования количественно оценить уровень безопасности и создать механизм управления рисками. Однако этот путь реализуем при наличии соответствующей системы показателей и критериев.
В дипломном проекте описывается методика оценки уровня защищенности СЗИ со стороны рисков. В основу методики положена идея, что уровень рисков в защищенной системе должен быть минимален по отношению к уровню защищенности системы без защиты. В данной ситуации можно получить количественную оценку уровня защищенности информации. Методика оперирует вероятностными данным реализации угроз, которые в свою очередь являются источником неопределенности ввиду невозможности своего однозначного измерения. Уровень точности оценки во многом зависит от полноты списка выдвинутых требований к СЗИ и в соответствии с требованиями, списка выдвинутых угроз.
2. ОПИСАНИЕ СРЕДСТ ЗАЩИТЫ КИС
2.1 Межсетевые экраны
2.1.1 Технология экранирования сети
Сегодня, деятельность любого предприятия во многом зависит от сети Internet и тех сервисов, которые она предоставляет, поэтому вопрос о целесообразности использования Internet возникает очень редко. В то же время очень остро ставится вопрос о том, чтобы была возможность использовать все привилегии и выгоды сети Internet с минимальным риском для деятельности предприятия. Поэтому сегодня на первый план выходит проблема обеспечения безопасности в КИС со стороны сетевого воздействия.
И этот сегмент не стоит на месте и постоянно развивается, причем очень динамично. Основными средствами защиты КИС были, есть и остаются межсетевые экраны. В литературе можно встретить их синонимы такие как: брандмауэр, firewall, фильтрующий маршрутизатор и пр. [12]. Все эти термины подразумевают одно и то же, имеют одно функциональное назначение, но могут содержать в себе разный набор инструментов защиты. Сетевые экраны являются лишь инструментом системы безопасности. Они предоставляют определенный уровень защиты и являются средством реализации политики безопасности на сетевом уровне. Уровень безопасности, который предоставляет сетевой экран, может варьироваться в зависимости от требований безопасности. Существует традиционный компромисс между безопасностью, простотой использования, стоимостью, сложностью и т.д. Сетевой экран является одним из нескольких механизмов, используемых для управления и наблюдения за доступом к и из сети с целью ее защиты.
Система firewall заменяет маршрутизатор или внешний шлюз сети (gateway). Защищенная часть сети размещается за ним. Пакеты, адресованные Firewall, обрабатываются локально, а не просто переадресовываются. Пакеты же, которые адресованы объектам, расположенным за Firewall, не доставляются. По этой причине хакер вынужден иметь дело с системой защиты Firewall. Схема взаимодействия Firewall с локальной сетью и внешней сетью Интернет показана на рисунке 2.1
Рисунок. 2.1 Схема Firewall
Такая схема проще и надежнее, так как следует заботиться о защите одной машины, а не многих. Чаще всего МЭ представляет из себя сетевую станцию с двумя и более сетевыми интерфейсами [13]. При этом через один интерфейс осуществляется связь с Интернет, а через второй с защищенной сетью. МЭ совмещает функции маршрутизатора-шлюза, экрана и управления экраном.
Недостатки FireWall происходят от ее преимуществ, осложняя доступ извне, система делает трудным и доступ наружу. Для многих программ, которые работают на нестандартных портах и не поддерживают прокси-сервера, для установки соединения придется либо открывать порты, либо отказаться от их использования. Служба FTP в системе может и отсутствовать, но если она есть, доступ возможен только в сервер FireWall и из него. Внутренние ПК не могут установить прямую FTP-связь ни с какой ЭВМ из внешнего мира. Процедуры telnet и rlogin возможны только путем входа в сервер. Как правило большинство МЭ запрещают пропуск ICMP трафика